x
Mein Büro Blog
Donnerstag, 12. April 2018 Joshua Ehrhardt | Kategorie: Business-Basics

Datenschutz-Grundverordnung (DSGVO): Don’t panic!

Ein Gespenst geht um in Europa: die Datenschutz-Grundverordnung. Die DSGVO ist zwar schon vor zwei Jahren in Kraft getreten. Am 25. Mai 2018 endet jedoch die Übergangsfrist. Die Verordnung dient der Vereinheitlichung des europäischen Datenschutzrechts. Sie gilt ab Ende Mai in allen EU-Mitgliedstaaten und sogar für Unternehmen außerhalb der EU, die in der EU ansässigen Personen Waren oder Dienstleistungen anbieten.

Neue Datenschutzverordnung (DSGVO)

Im Mittelpunkt steht die Information und der Schutz natürlicher Personen (Privatpersonen, Verbraucher, Mitarbeiter) bei der Erhebung, Verwendung, Verarbeitung und Weitergabe personenbezogener Daten. Die DSGVO-Vorschriften gelten sowohl für Behörden als auch für Unternehmen, Vereine und andere Institutionen, die personenbezogene Daten erheben.

Wichtig: Natürliche Personen, die Daten zu ausschließlich persönlichen oder familiären Zwecken erheben und verarbeiten, müssen die DSGVO ausdrücklich nicht beachten. Für Vereine und andere organisierte Freizeitaktivitäten gelten die Datenschutzvorschriften hingegen sehr wohl!

Insbesondere regelt die DSGVO

  • die Rechtmäßigkeit der Erhebung und Verarbeitung personenbezogener Daten,
  • die Art, den Umfang und Zwecke der Erhebung und Verwendung „personenbezogener Daten“ (Grundsätze der Datenminimierung, Zweckbindung und zeitlich begrenzten Speicherung),
  • die Transparenz- und Informationspflichten gegenüber Betroffenen sowie
  • Maßnahmen zur Sicherung personenbezogener Daten und ihrer Richtigkeit, Integrität und Vertraulichkeit sowie die dazugehörige Verfahrensdokumentation.

Wichtig: Die DSGVO ist ein sogenanntes „Verbotsgesetz mit Erlaubnisvorbehalt“: Die Verarbeitung von personenbezogenen Daten ist somit grundsätzlich verboten. Zulässig ist sie nur dann, wenn die betroffene Person es ausdrücklich erlaubt oder ein Gesetz die Datenerhebung vorsieht.

Die gute Nachricht vorweg: Die meisten DSGVO-Schutzvorschriften sind längst im deutschen Datenschutzgesetz enthalten. Insofern wird sich für viele Selbstständige und Unternehmer gar nicht so viel ändern. Anlass zur Panik besteht also nicht. Andererseits: Mit einem pauschalen dreizeiligen Datenschutz-„Disclaimer“ auf der Unternehmens-Website ist es künftig nicht mehr getan.

DSGVO-Überblick

Die wichtigsten DSGVO-Bestimmungen im Überblick:

  • Als personenbezogene Daten gelten alle Informationen, die Ausdruck der „physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität“ einer natürlichen Person sind und über die sich eine Person eindeutig identifizieren lässt.
  • Betroffene haben weiterhin Anspruch auf eindeutige und leicht verständliche Informationen über die Verarbeitung personenbezogener Daten. Mehr noch: Wer solche Daten erhebt, muss die Betroffenen zuvor über die dazugehörige Rechtsgrundlage informieren.
  • Verarbeitung von personenbezogenen Daten ist nur erlaubt bei Einwilligung, Erforderlichkeit zur Durchführung eines Vertrags, Erforderlichkeit zur Durchführung vorvertraglicher Maßnahmen, anderen Rechtspflichten oder nach einer Interessenabwägung
  • Betroffene können jederzeit Auskünfte zu den über sie gespeicherten Daten verlangen – außerdem über die Erhebungsquelle, den Zweck der Speicherung und bei Weitergabe über den Empfänger ihrer Daten. Solche Anfragen müssen innerhalb eines Monats beantwortet werden.
  • Entfällt der ursprüngliche Zweck der Datenspeicherung, müssen die personenbezogenen Daten gelöscht werden. Wurden die Daten an Dritte weitergegeben, müssen diese ebenfalls über die Pflicht zur Löschung informiert werden.
  • Natürliche Personen haben ein Recht auf Vergessenwerden: Sie können nachträglich das Löschen ihrer Daten verlangen.
    Wichtig: Sofern die Daten rechtmäßig erhoben wurden, gilt der Löschanspruch erst für die Zukunft. Transaktionsdaten aus der Vergangenheit müssen nicht gelöscht werden – schon gar nicht, wenn dadurch gesetzliche Aufbewahrungsvorschriften verletzt würden!
  • Das Verfahren des innerbetrieblichen Zugriffs auf personenbezogene Daten und deren Verarbeitung muss dokumentiert sein (Beschreibung der „Verarbeitungstätigkeiten“).
  • Die Pflicht zur Bestellung eines Datenschutzbeauftragten besteht in der Regel erst in Betrieben ab zehn Mitarbeitern aufwärts (mehr dazu weiter unten).
  • Unternehmen, Vereine, Behörden und andere datensammelnde Institutionen sind verpflichtet, Datenpannen unaufgefordert an die Betroffenen und die Aufsichtsbehörde zu melden. In der Regel ist das der Datenschutzbeauftragte des Bundeslandes.
  • Bei grenzüberschreitenden Geschäften können sich Betroffene an die Datenschutzbehörde ihres Mitgliedsstaates wenden.
  • Verstöße gegen die europäischen Datenschutzvorschriften werden künftig deutlich höhere Bußgelder nach sich ziehen. Geldbußen sollen „wirksam, verhältnismäßig und abschreckend“ sein. Deren Obergrenze reicht im Extremfall bei besonders schwerwiegenden Verstößen bis zu 20 Millionen Euro oder bis zu 4 % des Jahresumsatzes!

Wichtig: Nicht zuletzt aufgrund gravierender Datenmissbrauchs-Skandale in jüngster Zeit sind Betroffene und Behörden wesentlich sensibler. Offensichtliche Verstöße gegen Datenschutzvorschriften werden daher in Zukunft voraussichtlich konsequenter verfolgt als bisher.

Jetzt 30 Tage kostenlos Bürosoftware testen dsgvo

Brauche ich einen Datenschutzbeauftragten?

Die meisten kleinen Unternehmen kommen weiterhin ohne Datenschutzbeauftragten aus. Nur wenn das Kerngeschäft eines Unternehmens in der massenhaften Verarbeitung sensibler Daten besteht, müssen bereits Selbstständige und Kleingewerbetreibende einen qualifizierten Datenschutzbeauftragten benennen. Anderenfalls ist die Besetzung dieser Position erst in Betrieben erforderlich, in denen zehn und mehr Mitarbeiter ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Nur dann kann das Fehlen eines Datenschutzbeauftragten mit Geldbußen geahndet werden.

Wichtig: Die niedrigere bürokratische Hürde für Kleinbetriebe bedeutet keineswegs, dass die Datenschutzvorschriften dort außer Kraft gesetzt sind! Auch sie müssen die Datenschutz-Grundverordnung, das Bundesdatenschutzgesetz und alle anderen Datenschutzvorschriften beachten. Für deren Einhaltung ist bei Fehlen eines Datenschutzbeauftragten der Unternehmer selbst verantwortlich.

Was tun?

Wenn Sie bisher noch gar keine Datenschutz-Überlegungen angestellt haben, sollten Sie das möglichst bald nachholen. Am besten machen Sie zunächst einmal eine grobe Bestandsaufnahme. Fragen Sie sich zum Beispiel:

  • In welchen Situationen werden in Ihrem Unternehmen personenbezogene Daten natürlicher Personen (Privatpersonen, Verbraucher, Mitarbeiter) überhaupt erhoben, gespeichert, verarbeitet und / oder weitergegeben? Denken Sie dabei nicht nur an originär elektronische Daten, sondern auch an Briefpost, Telefonate, Papier-Fragebögen, Bewerbungsunterlagen, Auswertungen etc. Liegen hierzu Einwilligungen oder eine sonstige Rechtsgrundlage vor?
    Wichtig: Die Firmenangaben, Bankverbindungen, Adress-, Kommunikations- und ähnliche Daten juristischer Personen (z. B. AGs oder GmbHs) wie auch die Namen der dortigen Ansprechpartner (z. B. Geschäftsführer) fallen grundsätzlich nicht unter die Datenschutzbestimmungen. Spätestens jedoch, wenn Sie persönliche Informationen über Ihre B2B-Ansprechpartner sammeln (z. B. Hobbys oder Geburtstag), also Rückschlüsse auf die hinter der juristischen Person stehende Person möglich ist, sind auch diese geschützt!
  • Welche Informationen stellen Sie den Betroffenen zur Verfügung, wie erheben und dokumentieren Sie deren Zustimmung zur Datenverarbeitung? Genügen diese Informationen den Pflichtinformationen gemäß Art.13 DSGVO ?
  • In welchen Gebäuden und Räumen werden die Daten erhoben, gespeichert und verarbeitet? Sind hierzu die technisch-organisatorischen Sicherungsmaßnahmen ausreichend und dokumentiert ?
  • Mithilfe welcher Computer, Tablets, Smartphones, Telefonanlagen, Server, Software, Apps etc. werden die Daten erhoben, gespeichert und verarbeitet? Sind auch hierzu die technisch-organisatorischen Sicherungsmaßnahmen ausreichend und dokumentiert ?
  • Wie ist der Zugang zu Ihren Gebäuden, Räumen, Schränken und technischen Anlagen gesichert (z. B. Schlüssel, Passwortvergabe)?
  • Welche Personen haben Zugang? Denken Sie dabei nicht nur an Ihre Mitarbeiter, sondern auch an externe Dienstleister (z. B. Reinigungskräfte).
  • Wie ist sichergestellt, dass die gesammelten Daten nicht manipuliert und / oder unbefugt für betriebsfremde Zwecke missbraucht werden können?
  • Welche Vereinbarungen gibt es zwischen Ihnen, Ihren Kooperationspartnern und anderen Dienstleistern über personenbezogene Daten, die im Rahmen Ihrer Geschäftsbeziehungen ausgetauscht werden?

Wenn Sie sich Klarheit über diese Fragen verschafft, die Antworten dokumentiert und plausible Schutzmaßnahmen getroffen haben, ist das Thema DSGVO zwar noch nicht vom Tisch: Sie haben damit aber bereits eine gute Basis für eine soliden betrieblichen Datenschutz gelegt – und sind damit besser auf die DSGVO vorbereitet als die meisten anderen kleinen Unternehmen. Die meisten stecken bislang noch den Kopf in den Sand.

WISO Mein Büro und die DSGVO

WISO Mein Büro kann Ihnen Ihre DSGVO-Pflichten nicht abnehmen. Bei der Umsetzung Ihrer betrieblichen Datenschutz-Maßnahmen unterstützt die Software Sie aber mit zahlreiche nützlichen Funktionen:

  • MeinBüro erleichtert das Erfassen, Speichern, Verarbeiten und Auswerten von Daten ebenso wie den gezielten Im- und Export und das spätere Löschen.
  • Komfortable Such- und Filterfunktionen sorgen dafür, dass Sie jederzeit blitzschnell auf benötigte Datensätze zugreifen und sie bei Bedarf löschen können.
  • Der Zugang zur Software ist passwortgeschützt.
  • Eine differenzierte Benutzer- und Rechteverwaltung sorgt dafür, dass Sie den Zugang zu sensiblen Daten gezielt auf ausgewählte Mitarbeiter beschränken können.
  • Wichtig: Ausdrücklich nicht durch die Rechteverwaltung des Programms geschützt sind die externen „Dokumente“, die Sie Ihren Stammdaten und Vorgängen zuordnen können. Diese Dokumente werden im Dateisystem Ihres Computers gespeichert und können daher auch nur über dessen Rechteverwaltung geschützt werden. Am besten sprechen Sie mit Ihrem Systemadministrator über geeignete Maßnahmen der Daten- und Zugangssicherung.

Jetzt 30 Tage kostenlos Bürosoftware testen dsgvo

Weitere Praxis- und Lektüretipps

Nach Einschätzung von Experten stehen bereits jetzt Abzocker in den Startlöchern, die Selbstständige und Unternehmer nach Ende der DSGVO-Schonfrist mit kostspieligen Abmahnungen überziehen werden. Um den lukrativen Geschäftsmodellen unseriöser Abmahnvereinen die Grundlage zu entziehen, wurde Anfang März die Bundestags-PetitionUnlauterer Wettbewerb – Reform des wettbewerbsrechtlichen Abmahnwesens“ gestartet. Ausführlichere Informationen dazu gibt es auf der Website des „Verbands der Gründer und Selbstständigen Deutschland e.V.“ (VGSD).

← vorheriger Beitrag
nächster Beitrag →